Как запретить определенным процессам загрязнять журнал сообщений
У нас есть определенный процесс, связанный с Azure, который работает, который постоянно записывает в наши журналы следующее:
Aug 18 06:54:28 log-ids-vm rsyslogd-3000: omazuremds error at connect(). errno=No such file or directory
Как мы можем остановить запись определенного процесса в журнале сообщений? Или, если мы используем что-то вроде Ossec для получения журнала, как мы можем его отфильтровать?
Как мы можем остановить определенный процесс от записи в журнал сообщений?
Настроив параметры ведения журнала этого процесса, то есть сделать его записывать в файл, а не в STDOUT или системный журнал или настройте уровень журнала, чтобы он был менее подробным / тихим.
В качестве альтернативы, поскольку вы, кажется, используете rsyslog:
Rsyslogd поддерживает условия фильтрации , одно из которых, ~ - это молчаливо отбрасывать сообщения, соответствующие определенному шаблону:
Использование отрицания может быть полезно, если вы хотите выполнить некоторую общую обработку, но исключить некоторые конкретные события. Вы можете использовать действие сброса вместе с этим. Пример:
*. * /Var/log/allmsgs-including-informational.log : msg, contains, "информационный" ~ *. * /var/log/allmsgs-but-informational.logНе упускайте из виду тильду ~ в строке 2! В этом примере все сообщения записываются в файл
allmsgs-including-informational.log.
Затем все сообщения, содержащие строку « информационный », отбрасываются. Это означает, что строки файла конфигурации под «строкой сброса» (номер 2 в нашем примере) не будут применяться к этому сообщению. Затем все оставшиеся строки также будут записаны в файлallmsgs-but-informational.log.